Powered By Blogger

Rechercher sur ce blogue

mercredi 6 novembre 2013

Chrome : Google va enfin masquer les mots de passe

Sécurité : Fin des mots de passe en clair dans les préversions de Chromium. Une bonne nouvelle ? Enfin, répondront ceux qui critiquaient l'équipe de développement pour son laxisme sécuritaire.
Google veut faire taire les critiques sur sa politique de gestion des mots de passe dans Chrome. Depuis longtemps, utilisateurs et médias rapportent régulièrement que les mots de passe enregistrés dans le navigateur sont facilement accessibles en clair. Cela va bientôt prendre fin.
Prêtez votre ordinateur à un ami pour quelques secondes, sur votre session, et il pourra en quelques clics accéder à vos mots de passe enregistrés sur le web. Comment ? Si vous utilisez Chrome, il lui suffira d'accéder aux paramètres du navigateur, d'activer les paramètres avancés, de cliquer sur "Gérer les mots de passe enregistrés" et de choisir n'importe lequel pour l'afficher.
Demande de réauthentification 
Etonnant ? Pas tant que ça, car d'autres navigateurs, dont Firefox par exemple, permettent d'accéder aussi facilement ou presque aux mots de passe sauvegardés. Sauf que Mozilla permet de créer, en option, un mot de passe administrateur pour protéger l'affichage des mots de passe.
Sur Chrome, l'utilisateur n'a qu'à refuser de prêter son ordinateur ouvert sur sa session, et prévoir un accès invité, par exemple, diront certains. Intolérable laxisme, répondront d'autres.
Qu'importe, Google a décidé de changer les choses. Dans la dernière préversion de Chromium pour Mac OS, le projet open source à la base de Chrome, l'évangéliste de Google François Beaufort a rapporté un nouveau "flag" dans les options de Chromium.
On accède à ces prototypes en tapant chrome://flags dans la barre d'adresse de Google. Des fonctionnalités en test, susceptibles d'être supprimées. Mais celle qu'il relève est particulièrement intéressante. Ainsi, écrit-il :
"Une fois que vous aurez activé le flag chrome://flags/#enable-password-manager-reauthentification, l'utilisateur qui tente d'afficher les mots de passe en clair dans chrome://settings/passwords devra se réauthentifier avec le mot de passe utilisateur de Mac OS."
Une polémique stérile... qui attendait une réponse
L'authentification sera active durant une minute, précise l'évangéliste, qui renvoie à une discussion de Chromium sur la fonctionnalité. Il semble que seule la version Mac OS de Chromium est concernée pour l'instant. Cela dit, comme le notent nos confrères d'Ars Technica, cela n'est sans doute qu'un premier pas.
Une façon de faire taire la polémique créée en août après plusieurs articles décrivant cette politique d'affichage des mots de passe. Faire taire, vraiment, car la polémique était née d'on ne sait trop où, Google pratiquant cette politique depuis longtemps. Le chef de la sécurité de Chrome, Justin Schuh, avait d'ailleurs défendu la pratique :
"La raison est simple : vous devez verrouiller votre compte utilisateur si vous voulez protéger vos informations. Si vous ne le faites pas, rien d'autre ne compte vraiment, car ce n'est que du vent qui n'empêchera personne qui veut prendre un peu de temps pour y accéder."
Sauf que connaissance est mère de sécurité, et qu'un verrou supplémentaire n'est peut-être pas de trop. Sauf à lancer des campagnes d'information pour expliquer que les mots de passe ne sont pas *vraiment* protégés si l'utilisateur ne verrouille pas sa session... Il vaut probablement mieux masquer les mots de passe.


Aucun commentaire: